Malware Whiffy Recon

Një lloj i ri malware për skanimin e Wi-Fi i referuar si Whiffy Recon është zbuluar nga specialistë të sigurisë kibernetike. Kërcënimi është duke u vendosur në makinat Windows që tashmë janë komprometuar. Kriminelët kibernetikë përgjegjës për operacionin e sulmit po përdorin softuerin famëkeq dhe kërcënues SmokeLoader si një vektor shpërndarjeje për Whiffy Recon.

Lloji i ri i malware ka një funksion të vetëm. Në intervale të rregullta prej 60 sekondash, ai kryen një proces ku përcakton pozicionet e sistemeve të infektuara. Kjo arrihet duke kryer skanime të pikave të hyrjes Wi-Fi aty pranë, duke përdorur të dhënat e mbledhura si pika referimi për të kërkuar API-në e vendndodhjes gjeografike të Google. Më pas, informacioni i marrë i vendndodhjes nga API i Gjeolokimit të Google i transmetohet përsëri aktorit keqdashës që qëndron pas këtij operacioni.

Whiffy Recon është një kërcënim shumë i specializuar

Whiffy Recon funksionon duke kontrolluar fillimisht për praninë e shërbimit WLAN AutoConfig (WLANSVC) në sistemin e infektuar. Nëse emri i shërbimit nuk gjendet, malware përfundon vetë. Megjithatë, skaneri nuk verifikon nëse shërbimi po funksionon.

Për të arritur qëndrueshmëri, krijohet një shkurtore dhe shtohet në dosjen e fillimit të Windows.

Për më tepër, malware është konfiguruar për të krijuar një lidhje me një server të largët Command-and-Control (C2). Kjo arrihet duke dërguar një 'botID' të krijuar rastësisht në një kërkesë HTTP POST. Serveri C2 përgjigjet me një mesazh suksesi dhe një identifikues sekret unik, i cili më pas ruhet në një skedar të quajtur '%APPDATA%\Roaming\wlan\str-12.bin.'

Faza tjetër e sulmit përfshin kryerjen e skanimeve për pikat e aksesit Wi-Fi duke përdorur Windows WLAN API çdo 60 sekonda. Rezultatet e mbledhura të skanimit dërgohen më pas në API të Gjeolokimit të Google për të trekëndëshuar vendndodhjen e saktë të sistemit të komprometuar. Ky informacion më pas transmetohet në serverin C2 në formën e një vargu JSON.

Studiuesit rrallë vërejnë raste të këtij lloj aktiviteti dhe aftësie të përdorur nga aktorë kriminalë. Ndërsa kërcënimit të Whiffy Recon i mungon potenciali i menjëhershëm për fitim të shpejtë parash si një aftësi e pavarur, pasiguritë rreth qëllimit të tij janë shqetësuese. Realiteti shqetësues është se ai mund të shfrytëzohet për të mbështetur një gamë të gjerë objektivash të pasigurta.

Duke iu kthyer kërcënimit SmokeLoader, siç sugjeron emri, ky malware kryesisht funksionon si ngarkues. Qëllimi i tij i vetëm është të hedhë ngarkesa shtesë në hostin e synuar. Që nga viti 2014, ky malware ka qenë i disponueshëm për blerje nga aktorë kërcënimesh me bazë në Rusi. Zakonisht përhapet përmes emaileve phishing.

Vendosja e masave kundër infeksioneve malware është parësore

Zbatimi i masave për të luftuar infeksionet malware është me rëndësi të madhe. Malware, ose softueri kërcënues, paraqet kërcënime të rëndësishme për sigurinë dhe funksionalitetin e sistemeve kompjuterike, rrjeteve dhe të dhënave. Këto kërcënime variojnë nga aksesi i paautorizuar në shkeljet e të dhënave, humbjet financiare dhe ndërprerja e operacioneve kritike. Vendosja e masave efektive kundër malware është thelbësore për të mbrojtur asetet dixhitale dhe për të ruajtur integritetin e sistemeve.

• Përditësimet e rregullta të softuerit : Malware shpesh shfrytëzon dobësitë e njohura në sistemet operative dhe softuerët. Mbajtja e të gjithë softuerit tuaj të përditësuar duke shtuar arna dhe përditësime sigurie është thelbësore për mbylljen e pikave të mundshme të hyrjes për malware.
• Edukimi i përdoruesit : Shumë sulme malware synojnë përdoruesit përmes taktikave të inxhinierisë sociale si emailet e phishing ose shkarkimet mashtruese. Edukimi i përdoruesve për rreziqet e klikimit në lidhje të dyshimta, hapja e bashkëngjitjeve nga burime të panjohura dhe përdorimi i zakoneve të shfletimit të sigurt mund të zvogëlojë ndjeshëm rrezikun e infeksionit.
• Kontrolli i aksesit dhe menaxhimi i privilegjeve : Kufizimi i privilegjeve të përdoruesit dhe të drejtave të aksesit mund të kufizojë ndikimin e mundshëm të malware. Zbatimi i parimit të privilegjit minimal siguron që përdoruesit të kenë akses vetëm në burimet e nevojshme për rolet e tyre, duke reduktuar sipërfaqen e sulmit për malware.
• Rezervimi dhe rikuperimi : Rezervimi i rregullt i të dhënave dhe sistemeve thelbësore është thelbësor për të zbutur ndikimin e sulmeve të ransomware. Në rast infektimi, të dhënat e pastra mund të rikthehen, duke parandaluar humbjen e të dhënave dhe përpjekjet për zhvatje.
• Segmentimi i rrjeteve : Segmentimi i rrjeteve dhe izolimi i sistemeve kritike nga ato më pak të sigurta mund të përmbajë përhapjen e malware. Nëse një segment është i rrezikuar, është më e vështirë për malware të lëvizë anash dhe të infektojë pjesë të tjera të rrjetit.
• Monitorimi i vazhdueshëm : Përdorimi i mjeteve dhe praktikave të sigurisë për monitorim të vazhdueshëm ndihmon në zbulimin e hershëm dhe parandalimin e aktiviteteve të malware. Anomalitë dhe sjelljet e dyshimta mund të identifikohen menjëherë, duke lejuar ndërhyrjen në kohë.
• Vlerësimi i shitësit dhe softuerit : Përpara se të integrojnë softuerët ose shërbimet e palëve të treta në rrjet, organizatat duhet të vlerësojnë masat e tyre të sigurisë dhe reputacionin. Kjo ndihmon në parandalimin e futjes pa dashje të malware përmes softuerit të komprometuar.
• Bashkëpunimi dhe shkëmbimi i informacionit : Qëndrimi i informuar për tendencat më të fundit të malware dhe teknikat e sulmit është thelbësor. Bashkëpunimi me komunitetet e sigurisë dhe shkëmbimi i inteligjencës së kërcënimeve mund të ndihmojë në mbrojtjen në mënyrë proaktive kundër kërcënimeve në zhvillim të malware.

Si përfundim, vendosja e masave kundër infeksioneve malware është thelbësore për ruajtjen e aseteve dixhitale, privatësisë së përdoruesit dhe funksionalitetit të përgjithshëm të sistemeve. Një qasje me shumë shtresa që kombinon teknologjinë, edukimin e përdoruesve dhe strategjitë proaktive është thelbësore për të zbutur në mënyrë efektive rreziqet e paraqitura nga malware.